A nova ANPD: Como a transformação da autarquia em agência reguladora pode impactar a sua empresa

Em 24 de fevereiro de 2026, o Senado Federal aprovou a Medida Provisória 1.317/2025, transformando a Autoridade Nacional de Proteção de Dados (ANPD) em Agência Nacional de Proteção de Dados, mantendo a mesma sigla, mas com uma estrutura completamente diferente. O texto foi sancionado no último dia 25 e se tornou a Lei n. 15.352/2026.

Parece uma mudança burocrática, mas não é. Para as empresas brasileiras, especialmente as que operam no ambiente digital, esse movimento inaugura uma nova era de regulação de dados, com fiscalização mais robusta, mais instrumentos para punir e um mandato ampliado que inclui a proteção de crianças e adolescentes na internet. Para entender o que muda, é preciso entender de onde viemos.

Do Órgão à Autarquia, da Autarquia à Agência: uma Trajetória em três atos

A LGPD, publicada em agosto de 2018, previu a criação da ANPD, mas o órgão só foi efetivamente estruturado em 2020, por decreto presidencial. Nessa configuração inicial, funcionava como um órgão diretamente vinculado à Presidência da República, sem autonomia real — o que gerava dúvidas sobre sua independência para fiscalizar o próprio governo e as grandes empresas.

Em 2022, houve uma primeira melhora: pela Lei 14.460/2022, a ANPD foi transformada em autarquia especial, passando para a esfera do Ministério da Justiça e Segurança Pública e ganhando maior autonomia funcional e administrativa. Mas ainda faltava algo: ela não estava formalmente inserida no rol das agências reguladoras federais, disciplinado pela Lei 13.848/2019, o que limitava seu prestígio institucional e, na prática, o seu poder de influência sobre o mercado.

Agora, com a nova lei aprovada pelo Congresso, a ANPD passa a integrar oficialmente esse rol, equiparando-se institucionalmente à Anatel e à Anvisa.

O que muda concretamente com a nova legislação

A nova ANPD passa a ter autonomia funcional, técnica, decisória, administrativa e financeira, além de patrimônio próprio. Isso significa que ela pode tomar decisões, abrir processos, aplicar multas e editar regulamentos sem depender de aprovação política de outros órgãos. Permanece vinculada ao Ministério da Justiça e Segurança Pública, mas com independência de atuação.

Um dos problemas históricos da ANPD era operar com quadro reduzido de pessoal, isto é, uma autoridade que deveria fiscalizar milhares de empresas possui um quadro de poucos servidores. A lei cria 200 novos cargos de Especialista em Regulação de Proteção de Dados, a serem preenchidos por concurso público com exigência de formação específica. Esses servidores serão responsáveis pela inspeção, controle e análise técnica.

A lei institui também um órgão de auditoria dentro da estrutura da agência, alinhando a ANPD às boas práticas de governança regulatória adotadas pelas demais agências federais. Para não deixar a ANPD desguarnecida durante a transição, a MP prorroga até 31 de dezembro de 2028 o prazo em que a requisição de servidores de outros órgãos para a agência será considerada irrecusável; antes, esse prazo terminava em 2026.

O gatilho para a mudança: O ECA Digital

A principal razão que acelerou essa reestruturação foi a aprovação do Estatuto Digital da Criança e do Adolescente (ECA Digital), sancionado em 17 de setembro de 2025 como Lei 15.211/2025. Com o ECA Digital, a ANPD ganhou uma nova e exigente missão: ser a autoridade administrativa autônoma responsável pela proteção dos direitos de crianças e adolescentes no ambiente digital. Essa atribuição exige capacidade técnica, estrutura de fiscalização e poder regulatório que a antiga autarquia simplesmente não tinha condições de exercer com efetividade. Daí a necessidade da transformação em agência.

O ECA Digital entra em vigor em 17 de março de 2026, seis meses após sua publicação. O texto original da lei previa um período de 12 meses (um ano de vacatio legis), mas a urgência do tema levou o governo a editar a MP 1.319/2025, que reduziu esse prazo para seis meses. Já a MP 1.317/2025, a que transforma a ANPD em agência, incluiu expressamente a data de 17 de março de 2026 em seu texto, para evitar qualquer ambiguidade sobre quando a lei passará a ser fiscalizada.

O ECA Digital, a Lei n. 15.211/2025: o que é e quais exigências impõe às empresas e órgãos públicos

Imagine que o Estatuto da Criança e do Adolescente de 1990, aquela lei que protege menores no mundo físico, foi atualizado para o mundo digital. É exatamente isso que a Lei n. 15.211/2025 faz.

A norma parte de uma constatação simples: as redes sociais, os aplicativos, os jogos eletrônicos e as plataformas de streaming fazem parte do cotidiano de crianças e adolescentes, mas a legislação existente não dava conta dos riscos específicos desse ambiente, tais como cyberbullying, publicidade manipuladora, coleta de dados para fins comerciais, conteúdos inadequados impulsionados por algoritmos.

O ECA Digital não se aplica apenas a plataformas explicitamente voltadas para crianças. A lei alcança qualquer produto ou serviço digital que seja “de acesso provável” por menores, o que inclui aplicativos com visual atrativo para jovens, jogos com mecânicas simples e coloridas, redes sociais de uso geral. A lógica é: se crianças provavelmente usam, a empresa é responsável.

As principais obrigações impostas pela nova lei

Verificação de Idade Confiável: O art. 9º da lei é categórico: plataformas com conteúdo impróprio para menores devem adotar mecanismos confiáveis de verificação de idade a cada acesso. A autodeclaração, isto é, aquele clique em “confirmo que tenho mais de 18 anos”, deixa de ser suficiente. As empresas precisarão implementar sistemas de verificação por documentos, biometria facial ou tecnologias equivalentes. A ANPD está desenvolvendo um estudo técnico para definir os padrões aceitáveis.

Vinculação de Contas a Responsáveis Legais: Usuários de até 16 anos devem ter suas contas vinculadas a um responsável legal, com ferramentas que permitam ao adulto limitar o tempo de uso, restringir contatos e aprovar compras dentro de aplicativos e jogos.

Proibição de Publicidade por Perfilamento Comportamental: O art. 26 da lei veda expressamente a criação de perfis comportamentais de crianças e adolescentes para fins de publicidade comercial, inclusive usando os dados coletados durante o processo de verificação de idade. Isso muda profundamente o modelo de negócio de plataformas que dependem da publicidade segmentada. Um exemplo prático: uma rede social que hoje direciona anúncios de jogos para adolescentes com base no histórico de navegação deles não poderá mais fazer isso se os usuários forem menores de 18 anos.

Design de Segurança desde a Concepção: A lei adota o princípio de privacy by design e safety by design: segurança e privacidade precisam estar integradas ao produto desde o início, e não adicionadas depois como um recurso opcional. Isso vale especialmente para funcionalidades que podem estimular o uso compulsivo, como notificações constantes, sistemas de recompensas e mecânicas de engajamento.

Proibição de Loot Boxes: Jogos eletrônicos direcionados a menores ou de acesso provável por eles não podem mais oferecer as chamadas “caixas de recompensa” (loot boxes), mecânicas que simulam jogos de azar e podem gerar comportamento compulsivo em crianças e adolescentes.

Moderação de Conteúdo e Canais de Denúncia: As plataformas devem agir rapidamente para remover conteúdos que representem risco, tais como exploração sexual, assédio, cyberbullying, incentivo à automutilação. A remoção deve ocorrer mesmo sem ordem judicial. As empresas também precisam manter canais de denúncia acessíveis e eficazes.

Relatórios de Transparência: O art. 31 da lei obriga provedores com mais de um milhão de usuários menores de 18 anos registrados no Brasil a publicar relatórios semestrais em português no próprio site, contendo: os canais de denúncia disponíveis e os processos de apuração, a quantidade de denúncias recebidas, o volume de moderações de conteúdo ou contas por tipo, as medidas adotadas para identificar contas infantis e atos ilícitos, os aprimoramentos técnicos de proteção de dados e privacidade e os resultados das avaliações de impacto e gerenciamento de riscos à segurança e à saúde das crianças e adolescentes.

Divisão de competências entre órgãos federais

A Lei e o Decreto 12.622/2025 estabelecem uma estrutura clara de responsabilidades entre os órgãos envolvidos:

• A ANPD é a autoridade administrativa autônoma responsável pela proteção dos direitos de crianças e adolescentes no ambiente digital, competindo a ela fiscalizar, regulamentar e aplicar as sanções de advertência e multa previstas no ECA Digital.
• A Anatel fica responsável por executar bloqueios de plataformas e aplicativos determinados pela Justiça, no nível dos provedores de conexão à internet.
• O Comitê Gestor da Internet (CGI.br) segue encarregado da gestão dos nomes de domínio sob o “.br”.

Essa divisão foi consolidada pelo Decreto 12.622/2025, assinado em 17 de setembro de 2025, na mesma data da sanção do ECA Digital.

Certo, mas o que isso significa para as empresas? Três frentes de atuação

• Adequação técnica e de produto: Empresas com serviços acessíveis a crianças e adolescentes precisam revisar seus sistemas de cadastro e verificação de idade, reprojetar funcionalidades que incentivam uso compulsivo, eliminar loot boxes e modificar modelos de publicidade segmentada. Para startups e produtos digitais em estágio inicial, é mais fácil incorporar essas exigências desde o design; para serviços consolidados, o trabalho de adequação pode ser substancial.
• Governança e Compliance: A nova ANPD, com mais servidores e um órgão de auditoria interno, terá mais capacidade de iniciar processos de fiscalização e exigir documentação. As empresas precisarão manter registros de impacto, políticas claras de proteção de menores e evidências de que seus mecanismos de verificação de idade funcionam. Relatórios de transparência passam a ser obrigatórios para os grandes players.
• Risco Reputacional e de Sanção: Com uma agência reguladora mais estruturada e mandato expandido, o risco de uma empresa ser fiscalizada e, caso não comprove conformidade, a chance de ser multada aumenta. Mais do que o risco financeiro, há o impacto reputacional em um mercado onde a confiança digital é cada vez mais um diferencial competitivo. Nesse cenário, ser noticiado por violar direitos de crianças e adolescentes é um dano difícil de reverter.

Um cenário regulatório ainda em formação

É importante ser preciso: nem tudo está definido. A ANPD ainda precisará regulamentar detalhes do ECA Digital, como os padrões técnicos para verificação de idade, os critérios para classificação de conteúdo e as métricas de avaliação de risco. Guias técnicos, consultas públicas e atos infralegais ainda virão.

Isso significa que as empresas estão entrando em um período de adaptação contínua. Quem agir proativamente, ou seja, mapeando seu público, revisando produtos e ajustando processos chegará na frente quando os regulamentos mais específicos saírem. Como sabemos, sair na frente, em uma era marcada pela digitalização das relações humanas, significa ganhar um diferencial competitivo no mercado.

Considerações finais: A regulação chegou para ficar!

A aprovação da MP 1.317/2025 e sua conversão em lei não é um evento isolado. Ela é parte de um movimento deliberado de fortalecimento da infraestrutura regulatória digital brasileira, que inclui o ECA Digital, o Decreto 12.622/2025 e discussões ainda em curso sobre outros marcos normativos no setor.

Para as empresas brasileiras, a mensagem é clara: a ANPD deixou de ser uma autarquia com estrutura limitada e passou a ser uma agência reguladora com autonomia, pessoal qualificado, órgão de auditoria interno e mandato ampliado. O espaço para a informalidade e para o descumprimento silencioso das regras de proteção de dados, especialmente quando envolvem crianças e adolescentes, ficou muito menor e a tendência é estreitar cada vez mais.

O prazo para adequação ao ECA Digital é 17 de março de 2026. A hora de agir é agora. Aqui na Sotto Maior & Nagel Advogados contamos com uma equipe de experts para adequar a sua empresa à LGPD e ao ECA Digital. Estamos preparados para mapear processos, mitigar riscos, implementar soluções de conformidade e contribuir para a proteção e sucesso do seu negócio.